Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Nieuwe dos-aanval "BlackNurse" tegen firewalls onthuld

donderdag 10 november 2016, 10:52 door Redactie, 7 reacties

Onderzoekers hebben een nieuw soort dos-aanval onthuld waarmee firewalls en routers kunnen worden aangevallen. De aanval heeft de naam BlackNurse gekregen en is een ICMP-aanval. Het Internet Control Message Protocol (ICMP) is een protocol voor het versturen van berichten tussen ip-systemen.

Netwerkapparaten zoals routers gebruiken het om aan te geven dat een dienst, host of router niet bereikbaar is. ICMP wordt al geruime tijd gebruikt voor het uitvoeren van dos-aanvallen. Deze aanvallen zijn gebaseerd op ICMP Type 8 Code 0 en staan ook bekend als ping flood-aanvallen. BlackNurse is echter gebaseerd op ICMP met Type 3 Code 3-pakketten. "We weten dat als een gebruiker ICMP Type 3 Code 3 naar externe interfaces toestaat, de BlackNurse-aanval zelfs met weinig bandbreedte zeer effectief wordt", aldus de onderzoekers die de aanval onthulden.

Het zou in dit geval al voldoende zijn om aanvalsverkeer van 15 tot 18 Mbit/s te versturen. Eén enkele laptop zou in dit geval al voldoende zijn voor het uitvoeren van de aanval. Het maakt daarbij niet uit of de aangevallen partij over meer bandbreedte beschikt. De aanval zal in de meeste gevallen de processor zo zwaar belasten, waardoor gebruikers aan de lan-kant van de firewall geen verkeer meer van en naar het internet kunnen versturen en ontvangen.

"De BlackNurse-aanval heeft onze aandacht gekregen, want met onze anti-ddos-oplossing zagen we dat hoewel het verkeer erg weinig was, de aanval er toch voor kon zorgen dat klanten niets meer konden. Dit was ook van toepassing op klanten met grote internet-uplinks en grote zakelijke firewalls", aldus het beveiligingsteam van de Deense telecomprovider TDC in een rapport over BlackNurse (pdf). Het beveiligingsteam adviseert om ICMP Type 3-berichten aan de wan-interface van Cisco ASA-firewalls niet te accepteren. Netwerkbeveiligingsbedrijf Netresec maakte deze analyse van de aanval.

Malware mogelijk verantwoordelijk voor fraude Tesco Bank
Microsoft: Techsector en overheid moeten privacybalans vinden
Reacties (7)
10-11-2016, 11:25 door Anoniem
Leuk he, geheimtaal praten?
"type 3 code 3" dat klinkt ZOOOO veel interessanter dan "destination unreachable - port unreachable"

Maar los daarvan, dit gaat niet over "firewalls" maar over 1 specifieke firewall die dit kennelijk dom afhandelt.
Want blokkeren moet je dit verkeer zeker niet, tenminste als je je netwerk niet kapot wilt maken.
(dan is de steker eruit trekken wellicht ook te overwegen, werkt altijd goed)
10-11-2016, 13:20 door Anoniem
Door Anoniem: Leuk he, geheimtaal praten?
"type 3 code 3" dat klinkt ZOOOO veel interessanter dan "destination unreachable - port unreachable"

Maar los daarvan, dit gaat niet over "firewalls" maar over 1 specifieke firewall die dit kennelijk dom afhandelt.
Want blokkeren moet je dit verkeer zeker niet, tenminste als je je netwerk niet kapot wilt maken.
(dan is de steker eruit trekken wellicht ook te overwegen, werkt altijd goed)

A 20+ years old attack. Which, sadly, still made my home router crash with a kernel panic.
https://www.reddit.com/r/netsec/comments/5c7g10/the_blacknurse_attack/

Blacknurse apparently makes the CPU hot on:

Cisco ASA 5515, 5525 (default settings)
SonicWall
"Some unverified Palo Alto"
Maybe more
10-11-2016, 13:22 door Anoniem
Door Anoniem: Leuk he, geheimtaal praten?
"type 3 code 3" dat klinkt ZOOOO veel interessanter dan "destination unreachable - port unreachable"

Het doet het ook altijd goed als je een pakkende naam bedenkt en een dag vantevoren paniek zaait.

Met als gevaar dat men het niet meer gelooft als er echt iets aan de hand is.

Peter
10-11-2016, 14:25 door Anoniem
Handig he zon Fritzbox, kun je het accepteren van icmp op de WAN interface niet uitschakelen.
10-11-2016, 15:45 door Anoniem
Door Anoniem: Handig he zon Fritzbox, kun je het accepteren van icmp op de WAN interface niet uitschakelen.

Het ging ook over FIREWALLs ;)

Maar even serieus: het artikel zelf beperkt zich tot Cisco ASAs.
10-11-2016, 16:48 door Jan Voorbeeld
[Verwijderd]
10-11-2016, 16:50 door Jan Voorbeeld - Bijgewerkt: 10-11-2016, 16:50
Door Anoniem:
"Some unverified Palo Alto"

Ik kan uit betrouwbare bron melden: ALLE Palo alto's hebben er last van. Juniper SRX en J series lijken safe ATM.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Welke messaging-app gebruik jij?

23 reacties
Aantal stemmen: 610
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

19 reacties
Lees meer
Signal, WhatsApp, Telegram en Threema vergeleken
12-01-2021 door Anoniem

Leuke vergelijking tussen verschillende chat apps. Wel hoog WC-eend gehalte, maar ik wist niet dat Signal niet aan de AVG ...

1 reacties
Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter